Wat is de fout dan? Of toont hij geen fout?

$mysqli->query("SELECT gebruikersnaam FROM leden WHERE gebruikersnam='".$gebruikersnaam."'");

Kijk eens wat naar WHERE komt

Dan stuit je al op een probleem: Niets is veilig. :p

Maar als je voor veiligheid kiest, waarom dan cookies en geen SESSIONS?

Je moet nog op IP checken.

Verder kan je in de query LIMIT 1 zetten, dat is sneller. Je wilt toch weten of er 1 van bestaat?

En ik snap xdigit niet, dan mag je alleen maar a-f en A-F. Beetje raar als een gebruikersnaam geen Z kan bevatten niet?

<?php


Function islogged()
{
    if(isset($_COOKIE['id']) && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam']) && ctype_xdigit($_COOKIE['gebruikersnaam']))
    {


        $mysqli->query("SELECT gebruikersnaam FROM leden WHERE gebruikersnam='".addslashes($_COOKIE['gebruikersnaam']));


    if($mysqli->num_rows == 1)
    {
        //ingelogd


        return TRUE;
        
    }
    else
    {
        uitgelogd
    }
?>

Is alleen wel zo onveilig als wat aangezien je door middel van de cookie 'gebruikersnaam' te wijzigen toegang krijgt tot een ander account. Kijk eens naar sessies Stukje veiliger op de manier zoals jij het wil doen.

isset() kan trouwens meerdere waarden bevatten zegmaar dit:

isset($foo,$bar)

Wat Niels zegt inderdaad.

Citaat

Dan stuit je al op een probleem: Niets is veilig.

Maar als je voor veiligheid kiest, waarom dan cookies en geen SESSIONS?

Omdat sessies niet per definitie veiliger zijn? Bij goed gebruik van cookies kan dit heel veilig zijn.

"Niets is veilig." Een volledig veilig systeem is bijna onmogelijk, maar een loginsysteem op zich: Moet lukken.

[offtopic]Overigens waardeer ik dan wel heel erg dat je dit topic opent![/offtopic]

De errors er uit halen?
isset($_SESSION['id'] &&
je vergeet isset() af te sluiten... (niet alleen daar)

if(isset($_COOKIE['id']) && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam']))
// kan korter als:
if(isset($_COOKIE['id'], $_COOKIE['gebruikersnaam']) && ctype_digit($_COOKIE['id']))
// zoals niels dus al zei...

de else die false returned weg halen...
en de "return FALSE;" net op het einde van de functie zetten... (niet in een if)

De datum en gebruikersnaam niet uit de database selecteren...

Zodra je ingelogd bent (je login script) session_regenerate_id() aanroepen...

Zorgen dat je $mysqli ook echt bestaat...

de $ voor mysql_real_escape_string($_COOKIE['gebruikersnaam']) weghalen...

$_SERVER_REMOTE_ADDR veranderen in $_SERVER['REMOTE_ADDR']

Op id selecteren, niet op gebruikersnaam...
Ook vind ik het geen goed idee om de gebruikersnaam in de cookie en sessie op te slaan, het id is genoeg...
Wil je nog een extra waarde neem dan de hash van iets... (ip + browser + id + datum geregistreerd bijvoorbeeld)

$_session['id'] met hoofd letters schijven...
consequent blijven is trouwens ook wel handig... ($_SESSION['id'] en $_SESSION['ID'] zijn verschillende variabelen)

Darsstar: Wat maakt het verschil tussen op ID of op naam selecteren?

Selecteren op ID is veel sneller. Dit omdat getallen al sneller werken, en daarbij de ID normaal de PRIMARY KEY is. Wil je iets selecteren uit een tabel, is de PRIMARY KEY altijd de snelste optie: Dit heeft te maken met de manier waarop MySQL de boel opslaat.

Ok, dat wist ik niet bedankt!

Citaat van MrMees

Darsstar: Wat maakt het verschil tussen op ID of op naam selecteren?

Verder is het ook een beetje vreemd als je een uniek veld hebt voor een bepaalde user dat niet hoort te veranderen (gericht aan iedereen die het zou kunnen veranderen in de database) en een ander veld gebruikt om users te identificeren...
Zeker wanneer je bedenkt waar id voor staat!

Even logisch nadenken kan soms al veel opleveren :p